تخفیف چند مجوز
Computer Security صنعت هوافضای ایالات متحده تحت حمله: معرفی بدافزار جدید...

حمله بدافزار powerdrop صنعت هوافضا آمریکا

یک عامل تهدید سایبری که قبلاً ناشناس بود، با استقرار یک بدافزار تازه کشف شده مبتنی بر PowerShell به نام PowerDrop ، توجه آنها را به سمت صنعت هوافضای ایالات متحده معطوف کرد. این بدافزار پیشرفته از تاکتیک های فریبنده مختلف، تکنیک های رمزگذاری و رمزگذاری برای جلوگیری از شناسایی استفاده می کند. نام "PowerDrop" از اتکای آن به ابزار Windows PowerShell و رشته "DROP" (DRP) است که در کد آن برای padding گنجانده شده است.

PowerDrop یک ابزار پس از بهره برداری است که برای جمع آوری اطلاعات حساس از شبکه های در معرض خطر پس از دستیابی به دسترسی غیرمجاز از طریق روش های جایگزین طراحی شده است. برای برقراری ارتباط با یک سرور Command-and-Control (C2)، بدافزار از پیام‌های درخواست پژواک پروتکل کنترل اینترنت (ICMP) به عنوان چراغ راهنمایی استفاده می‌کند. سپس سرور C2 با دستورات رمزگذاری شده رمزگشایی شده و بر روی هاست در معرض خطر اجرا می شود. به طور مشابه، پیام پینگ ICMP با هدف استخراج نتایج این دستورالعمل ها است.

نکته قابل توجه، PowerDrop از سرویس Windows Management Instrumentation (WMI) برای اجرای دستورات PowerShell استفاده می کند و استفاده عامل تهدید از تکنیک های "زندگی خارج از زمین" را برای فرار از شناسایی نشان می دهد. در حالی که ماهیت اصلی بدافزار ممکن است به‌طور استثنایی پیچیده نباشد، توانایی آن در مبهم کردن فعالیت‌های مشکوک و فرار از دفاع نقطه پایانی نشان‌دهنده دخالت عوامل تهدید پیشرفته‌تر است.

رونمایی از تاکتیک های حمله بدافزار مخفی

بدافزار اخیراً کشف شده توسط محققان امنیتی از طریق یک سیستم تشخیص یادگیری ماشین پیشرفته - فناوری قدرتمندی که محتوای اجرای اسکریپت PowerShell را موشکافی می‌کند و شناسایی این تهدید گریزان را امکان‌پذیر می‌سازد، آشکار شده است. با این حال، با وجود این پیشرفت، زنجیره عفونت دقیق و مصالحه اولیه PowerDrop همچنان در هاله ای از ابهام قرار دارد.

تحلیلگران در مورد روش های بالقوه استفاده شده توسط مهاجمان برای استقرار اسکریپت PowerDrop حدس می زنند. اینها شامل بهره برداری از آسیب پذیری ها، استفاده از ایمیل های فیشینگ برای هدف قرار دادن قربانیان، یا حتی توسل به تاکتیک های فریبنده سایت های دانلود نرم افزار جعلی است. هنوز راه دقیق نفوذ PowerDrop به سیستم ها مشخص نشده است. برای تقویت ماهیت پنهان آن، اسکریپت با استفاده از Base64 کدگذاری می‌شود و به آن اجازه می‌دهد به عنوان یک درب پشتی یا تروجان دسترسی از راه دور (RAT) عمل کند. این تکنیک پیچیده، PowerDrop را قادر می‌سازد تا از تشخیص فرار کند و پایداری را در سیستم‌های در معرض خطر حفظ کند.

کندوکاو در لاگ های سیستم، بینش های مهمی را در مورد شیوه عملکرد PowerDrop آشکار می کند. تجزیه و تحلیل نشان داد که اسکریپت مخرب به طور موثر از فیلترهای رویداد WMI ثبت شده قبلی و مصرف کنندگان با نام متمایز "SystemPowerManager" استفاده می کند. بدافزار خود این مکانیزم استتار شده را با به خطر انداختن سیستم با استفاده از ابزار خط فرمان 'wmic.exe' ایجاد کرد.

افشای ویژگی های منحصر به فرد PowerDrop پیچیدگی تهدیدات سایبری مدرن را روشن می کند. PowerDrop با توانایی خود برای فرار از شناسایی و عملکرد مخفیانه در سیستم های در معرض خطر، نمونه ای از تکامل و نبوغ مداوم بازیگران مخرب در چشم انداز دیجیتال است.

یک عامل تهدید سایبری که قبلاً ناشناس بود، با استقرار یک بدافزار تازه کشف شده مبتنی بر PowerShell به نام PowerDrop، توجه آنها را به سمت صنعت هوافضای ایالات متحده معطوف کرد. این بدافزار پیشرفته از تاکتیک های فریبنده مختلف، تکنیک های رمزگذاری و رمزگذاری برای جلوگیری از شناسایی استفاده می کند. نام "PowerDrop" از اتکای آن به ابزار Windows PowerShell و رشته "DROP" (DRP) است که در کد آن برای padding گنجانده شده است.

PowerDrop یک ابزار پس از بهره برداری است که برای جمع آوری اطلاعات حساس از شبکه های در معرض خطر پس از دستیابی به دسترسی غیرمجاز از طریق روش های جایگزین طراحی شده است. برای برقراری ارتباط با یک سرور Command-and-Control (C2)، بدافزار از پیام‌های درخواست پژواک پروتکل کنترل اینترنت (ICMP) به عنوان چراغ راهنمایی استفاده می‌کند. سپس سرور C2 با دستورات رمزگذاری شده رمزگشایی شده و بر روی هاست در معرض خطر اجرا می شود. به طور مشابه، پیام پینگ ICMP با هدف استخراج نتایج این دستورالعمل ها است.

نکته قابل توجه، PowerDrop از سرویس Windows Management Instrumentation (WMI) برای اجرای دستورات PowerShell استفاده می کند و استفاده عامل تهدید از تکنیک های "زندگی خارج از زمین" را برای فرار از شناسایی نشان می دهد. در حالی که ماهیت اصلی بدافزار ممکن است به‌طور استثنایی پیچیده نباشد، توانایی آن در مبهم کردن فعالیت‌های مشکوک و فرار از دفاع نقطه پایانی نشان‌دهنده دخالت عوامل تهدید پیشرفته‌تر است.

رونمایی از تاکتیک های حمله بدافزار مخفی

بدافزار اخیراً کشف شده توسط محققان امنیتی از طریق یک سیستم پیشرفته تشخیص یادگیری ماشین - فناوری قدرتمندی که محتوای اجرای اسکریپت PowerShell را موشکافی می‌کند و شناسایی این تهدید گریزان را امکان‌پذیر می‌سازد، آشکار شده است. با این حال، با وجود این پیشرفت، زنجیره عفونت دقیق و مصالحه اولیه PowerDrop همچنان در هاله ای از ابهام قرار دارد.

تحلیلگران در مورد روش های بالقوه استفاده شده توسط مهاجمان برای استقرار اسکریپت PowerDrop حدس می زنند. اینها شامل بهره برداری از آسیب پذیری ها، استفاده از ایمیل های فیشینگ برای هدف قرار دادن قربانیان، یا حتی توسل به تاکتیک های فریبنده سایت های دانلود نرم افزار جعلی است. هنوز راه دقیق نفوذ PowerDrop به سیستم ها مشخص نشده است. برای تقویت ماهیت پنهان آن، اسکریپت با استفاده از Base64 کدگذاری می‌شود و به آن اجازه می‌دهد به عنوان یک درب پشتی یا تروجان دسترسی از راه دور (RAT) عمل کند. این تکنیک پیچیده، PowerDrop را قادر می‌سازد تا از تشخیص فرار کند و پایداری را در سیستم‌های در معرض خطر حفظ کند.

کندوکاو در لاگ های سیستم، بینش های مهمی را در مورد شیوه عملکرد PowerDrop آشکار می کند. تجزیه و تحلیل نشان داد که اسکریپت مخرب به طور موثر از فیلترهای رویداد WMI ثبت شده قبلی و مصرف کنندگان با نام متمایز "SystemPowerManager" استفاده می کند. بدافزار خود این مکانیزم استتار شده را با به خطر انداختن سیستم با استفاده از ابزار خط فرمان 'wmic.exe' ایجاد کرد.

افشای ویژگی های منحصر به فرد PowerDrop پیچیدگی تهدیدات سایبری مدرن را روشن می کند. PowerDrop با توانایی خود برای فرار از شناسایی و عملکرد مخفیانه در سیستم های در معرض خطر، نمونه ای از تکامل و نبوغ مداوم بازیگران مخرب در چشم انداز دیجیتال است.

صنعت هوافضای ایالات متحده تحت حمله: معرفی بدافزار جدید PowerDrop اسکرین شات

بارگذاری...